聶得欣

摘 要： 在高校數(shù)字化平臺迅猛發(fā)展的同時，信息網(wǎng)絡(luò)安全問題也日益突出。本文從網(wǎng)絡(luò)安全的角度，選用 Linux 系統(tǒng)，結(jié)合 VSFTP 服務(wù)和用戶權(quán)限控制兩大功能，提出一種適合在高校數(shù)字化平臺下實現(xiàn)信息共享的方案， 可以安全進行信息資源的上傳和下載， 從而實現(xiàn)信息共享。

關(guān)鍵詞：信息共享 數(shù)字化平臺 用戶權(quán)限控制 云存儲、Linux VSFTP

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）04-0004-01

一、引言

目前在高校教師對信息共享的需求相當迫切，而高校數(shù)字化平臺提供的信息共享能力出現(xiàn)了不同程度的瓶頸。大多數(shù)平臺都使用 HTTP 和匿名 FTP 實現(xiàn)信息資源下載，無法對信息下載用戶進行細粒度安全控制[1]，信息資源上傳功能由于安全原因幾乎沒有提供。針對上述問題， 本文在使用 Linux 系統(tǒng)平臺的基礎(chǔ)上， 結(jié)合 VSFTP 和用戶權(quán)限控制等技術(shù)， 配置 FTP文件服務(wù)器，完成信息資源的上傳和下載，實現(xiàn)了安全的信息共享。

二、VSFTP 配置原則

VSFTP 是 “very secure FTP”的縮寫， 安全性是它的一個最大的特點。 VSFTP是一個UNIX類操作系統(tǒng)上運行的服務(wù)名字，它可以運行在諸如 Linux、BSD、Solaris、HP-UNIX等系統(tǒng)上面，是一個完全免費的、開發(fā)源代碼的 FTP 服務(wù)器軟件，支持很多其他的 FTP 服務(wù)器所不支持的特征，安裝 VSFTP 服務(wù)的服務(wù)器稱為VSFTP服務(wù)器，具有非常高的安全性、穩(wěn)定性、速率高等特點。結(jié)合高校數(shù)字化平臺實際，在配置VSFTP服務(wù)器時遵循以下原則。

1.本地用戶登錄 優(yōu)先 原則

目前大多數(shù) FTP 文件服務(wù)器采用的是匿名用戶登錄方式，該方式配置簡單，只能實現(xiàn)一般的信息上傳和下載功能，而 VSFTPD 服務(wù)提供的本地用戶登錄方式可滿足高校數(shù)字化平臺下高校教師對信息共享的需求。VSFTPD 服務(wù)可提供本地用戶登錄，三種用戶登錄方式，分別是匿名用戶登錄、虛擬用戶登錄和本地用戶登錄。 前兩種都是針對一類或若干類用戶進行安全控制的登錄方式， 可滿足普通安全要求的配置需求，但都有各自的功能局限性，比如：采用匿名用戶登錄方式，只能配置一種安全控制模式，采用虛擬用戶登錄方式，也只能配置若干種安全控制模式，并且虛擬用戶的安全認證方式比較復(fù)雜， 而本地用戶登錄可滿足高級安全要求的配置需求， 可實現(xiàn)細粒度的針對單一用戶的可定制的安全控制，可以與 Linux 系統(tǒng)自身提供的安全特性完美結(jié)合，靈活配置任何用戶的信息資源權(quán)限。因此，在配置 VSFTP 服務(wù)器時，要優(yōu)先采用本地用戶登錄方式，匿名用戶登錄方式和虛擬用戶登錄方式為輔作為補充。

2.云存儲原則

在配置 VSFTP 服務(wù)器時要充分考慮到用戶可以使用的存儲空間的大小，要盡可能為用戶提供海量的存儲空間， 實現(xiàn)信息資源的云存儲， 保證信息共享。 云存儲是指通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)或分布式文件系統(tǒng)等功能， 將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。在高校數(shù)字化平臺中云存儲可以通過建立 Linux 集群系統(tǒng)， 在 Linux 集群中配置磁盤陣列（RAID）實現(xiàn)。Linux 磁盤陣列有軟件 RAID 和硬件 RAID 兩種：軟件 RAID 的性能較低，因為其使用主機的資源，需要加載 RAID 軟件以從軟件 RAID 卷中讀取數(shù)據(jù)。在軟件 RAID 中無需物理硬件，零成本投資。硬件 RAID 的性能較高， ，它不使用主機資源，有專用的 RAID 控制器來管理存儲空間， 存取速度快， 性能高。 高校數(shù)字化平臺的云存儲可以采用先軟件 RAID后硬件 RAID 的模式實現(xiàn)，保證云存儲的安全備份和災(zāi)難恢復(fù)，同時在磁盤陣列的基礎(chǔ)上運用邏輯卷管理器（LVM）技術(shù)實現(xiàn)對文件資源的邏輯管理保證云存儲的動態(tài)更新和彈性空間調(diào)整。

3.磁盤配額原則

根據(jù)高校數(shù)字化平臺的實際情況，用戶在 VSFTP 服務(wù)器上的存儲空間要考慮到存儲成本、存儲利用率等因素，要針對不同類型的用戶進行磁盤配額。用戶使用的存儲空間不可能無限擴大， 如果不限制每個用戶使用磁盤空間的大小， 如果某個用戶疏忽或惡意將磁盤占滿，將導(dǎo)致系統(tǒng)無法進行寫操作甚至崩潰，直接影響網(wǎng)絡(luò)的安全運行[2]。在高校數(shù)字化平臺下可使用 Linux 系統(tǒng)的磁盤配額功能為每個用戶限制存儲空間，Linux 磁盤配額的設(shè)置單位是分區(qū)，針對分區(qū)啟用配額限制功能后才可以對用戶設(shè)置。磁盤配額設(shè)置有兩種措施：硬限制和軟限制。硬限制是對空間使用的絕對限制，在任何情況下用戶都不允許超過此限制；軟限制允許用戶在一定時間范圍內(nèi)（默認為一周）超過其限制的額度，在不超出硬限制的范圍內(nèi)可以繼續(xù)使用空間，系統(tǒng)會發(fā)出警告，但如果用戶達到時間期限仍未釋放空間到限制的額度下， 系統(tǒng)將不再允許該用戶使用更多的空間。 磁盤配額限制空間使用的方法也有兩種，即分別對 inode 和 block 進行限制。磁盤配額可以限定用戶在分區(qū)中使用的空間大小（blocks） ，也可以限定用戶可以在分區(qū)中最多創(chuàng)建的文件數(shù)（inodes） 。

三、用戶權(quán)限設(shè)置

高校數(shù)字化平臺下信息共享的主要問題就是安全性問題，而安全性主要是通過用戶的訪問權(quán)限來控制。 目前高校用戶的訪問權(quán)限不是太小就是過大， 沒有細粒度的設(shè)置用戶對信息資源的訪問權(quán)限， 因此在對高校數(shù)字化平臺下的 VSFTP 服務(wù)器進行配置時， 一定要與 Linux系統(tǒng)的用戶權(quán)限控制有機結(jié)合起來，對每一個用戶的信息資源訪問權(quán)限進行個性化定制。

1.基本概念

Linux 系統(tǒng)中的每個文件和目錄都有訪問許可權(quán)限，用他來確定誰能通過何種方式對文件和目錄進行訪問和操作。文件或目錄的訪問權(quán)限分為只讀，只寫和可執(zhí)行三種。只讀權(quán)限表示只允許讀其內(nèi)容，而禁止對其做所有的更改操作?？蓤?zhí)行權(quán)限表示允許將該文 件作為一個程序執(zhí)行。文件被創(chuàng)建時，文件所有者自動擁有對該文件的讀、寫和可執(zhí)行權(quán)限，以便于對文件的閱讀和修改。用戶也可根據(jù)需要把訪問權(quán)限設(shè)置為需要的所有組合。有三種不同類型的用戶可對文件或目錄進行訪問： 文件所有者， 同組用戶、 其他用戶。所有者一般是文件的創(chuàng)建者。 所有者能允許同組用戶有權(quán)訪問文件， 還能將文件的訪問權(quán)限賦予系統(tǒng)中的其他用戶。 在這種情況下， 系統(tǒng)中每一位用戶都能訪問該用戶擁有的文件或目錄。每一文件或目錄的訪問權(quán)限都有三組，每組用三位表示，分別為文件屬主的讀、寫和執(zhí)行權(quán)限；和屬主同組的用戶的讀、寫和執(zhí)行權(quán)限；系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。

2.權(quán)限設(shè)計方案

針對高校教師對信息資源訪問權(quán)限的需求，從用戶賬號設(shè)置、目錄結(jié)構(gòu)建立、用戶權(quán)限分配三方面著手，形成基于網(wǎng)絡(luò)安全的用戶權(quán)限設(shè)計方案，具體方案如下：

2.1賬號設(shè)置

VSFTP 服務(wù)器上的信息資源的目錄結(jié)構(gòu)的設(shè)置一定考慮到高校實際，根據(jù)使用單位和用戶的使用需求進行細粒度設(shè)置。 按行政機構(gòu)對校屬各單位進行單位分組， 每個單位都分配一個用戶組，各單位教師分屬各單位分組，每位教師都有一個本地用戶賬號。所有教師在本地用戶賬號登錄到 VSFTP 服務(wù)器時都不能登錄到 Linux 系統(tǒng)，只能使用 Linux 系統(tǒng)提供的VSFTP 服務(wù)。這一點可以通過在建立本地用戶賬號時使用-s /sbin/nologin 參數(shù)來實現(xiàn)。

2.2 目錄結(jié)構(gòu) 建立

VSFTP 服務(wù)器上的信息資源的目錄結(jié)構(gòu)的設(shè)置一定考慮到高校實際，根據(jù)使用單位和用戶的使用需求進行細粒度設(shè)置。 可按校屬單位為各單位建立本單位使用的文件夾， 僅教師自己使用的文件夾和全校教師使用的文件夾。VSFTP 服務(wù)器共享信息資源目錄結(jié)構(gòu)圖如圖 1所示。

2.3 使用權(quán)限 分配

在訪問根文件夾下為校屬各單位設(shè)置文件夾，每個單位都擁有自已的文件夾，由各單位內(nèi)部教師共同使用， 每個教師可在自己單位文件夾下上傳信息資源供本單位使用， 即只有本單位教師才能下載該文件夾下的資源， 同時每個教師也只能修改刪除自已上傳的信息資源，而不能修改刪除本單位其他教師上傳的信息資源。各單位的教師在自已單位的文件夾下也擁有自已的文件夾，教師可在自已的文件夾下上傳和下載信息資源，但僅限教師本人使用。設(shè)置一個面向全校的 SHARE 文件夾，每個單位在其下都擁有自已的文件夾，各單位教師可在各自單位文件夾下上傳信息資源，供全校所有教師下載使用。VSFTP 服務(wù)器共享信息資源目錄結(jié)構(gòu)如下圖所示： 每個教師在各自單位下都有一個自已的文件夾， 只有本人可以上傳和下載信息資源。

設(shè)置學校管理員和單位管理員，學校管理員對整個信息資源擁有所有權(quán)限，單位管理員對 PUB 文件夾和 SHARE 文件夾下的本單位文件夾里的信息資源擁有所有權(quán)限。

四、結(jié)論

根據(jù)上述 Vsftp 配置原則和用戶權(quán)限設(shè)計方案，使用以下實驗平臺進行測試：Linux操作系統(tǒng)使用 Centos5.6，Vsftpd 使用 vsftpd-2.0.5-28.el5.i386.rpm。實驗結(jié)果表明本文基于網(wǎng)絡(luò)安全的高校數(shù)字化平臺信息共享機制研究達到了預(yù)期目標。

參考文獻

[1]梁建國， 張斌， 王欣偉. 基于 Vsftpd 的安全 FTP 服務(wù)器的構(gòu)建[J]. 計算機與網(wǎng)絡(luò)，2009，（16）：53-54

[2]歐軍，吳清秀，白曉波. 基于 Linux 的 Vsftpd 服務(wù)的構(gòu)建[J]. 信息與電腦（理論版），2010，（05）：101-102